Informatiebeveiliging: Een goed begin, is het halve werk Maart 2016: verschillende media besteden aandacht aan een zaak bij het Antoni van Leeuwenhoekziekenhuis (AvL). Een onderzoeker bleek de medische gegevens van 780 patiënten onversleuteld te hebben gekopieerd naar een harde schijf. Het gevolg? De harde schijf werd gestolen uit een auto. Het AvL deed melding van een datalek bij de Autoriteit Persoonsgegevens (AP) en lichtte de patiënten in. Vertrouwelijke medische gegevens van ruim 158.000 Nederlanders en Belgen hebben op straat gelegen door fouten van verschillende partijen. Wat gaat hier mis? Het niet op orde hebben van uw informatiebeveiliging vergroot de kans op datalekken, met alle risico’s van dien. Het is dus zaak dat (zorg)instellingen zich serieuzer gaan verdiepen in de materie van informatiebeveiliging en datalekken in het bijzonder. Maar wat is informatiebeveiliging en wat is een datalek? Hoe kunt u zelf optreden? Maar belangrijker, hoe valt het te voorkomen? Na het lezen van dit interview met Paul Somberg bent u helemaal op de hoogte. Vanwaar zo veel interesse voor informatiebeveiliging? ‘’Op 1 januari 2016 is de Meldplicht Datalekken ingegaan. Het verlies van patiëntgegevens is daarmee duur geworden. Boetes kunnen oplopen tot 810.000 euro of zelfs 10% van de jaaromzet. Maar dat is niet alles. Het niet melden van datalekken door een organisatie of instelling, aan zowel de Autoriteit Persoonsgegevens (AP) als de slachtoffers, is strafbaar. De reputatieschade kan enorm zijn en toch zijn er, naar mijn mening, nog veel organisaties en/of instellingen die hier niet genoeg aandacht aan besteden.’’ Hoe werkt informatiebeveiliging? ‘’Een ketting is zo sterk als zijn zwakste schakel. In (zorg)instellingen worden veel privacygevoelige gegevens verwerkt én uitgewisseld. Informatiebeveiliging gaat naar mijn mening in de breedste zin van het woord over de betrouwbaarheid van de informatievoorziening van een gehele organisatie. De beveiliging van informatie heeft het doel om risico’s met betrekking tot privacygevoelige gegevens tot een acceptabel niveau terug te brengen. Wat is hiervoor nodig? Allereerst een evenwichtig stelsel van maatregelen. Deze maatregelen zijn divers van aard en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie of instelling.’’ 1 Die maatregelen reiken dus verder dan alleen een goede software en ICT-infrastructuur? ‘’Ja, ook zaken zoals toegangsbeleid, personeel, beleid- en bureauveiligheid zijn net zo belangrijk. Informatiebeveiliging is daarmee niet alleen het domein van de afdeling I&A. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. U zou denken dat procedurele en technische maatregelen van belang zijn bij informatiebeveiliging, maar het gedrag van mensen is misschien nog wel belangrijker.’’ ‘’Allereerst is het belangrijk aan te geven dat informatiebeveiliging geen garanties geeft dat fouten worden voorkomen. Het laat echter wel zien dat een organisatie of instelling goed naar de mogelijke risico’s heeft gekeken die er zijn bij het verwerken van (gevoelige) informatie. Op basis van die risico’s worden een aantal maatregelen en bijbehorende processen gedefinieerd, ingevoerd en geborgd. Het niet op orde hebben van de informatiebeveiliging, zorgt uiteindelijk voor een vergrote kans op een datalek. Het gaat dus om een oorzaak-gevolg principe. Een datalek is een inbreuk op de beveiliging. Deze inbreuk leidt tot de aanzienlijke kans op ernstige of nadelige gevolgen voor de bescherming van privacygevoelige gegevens en daarmee ook op reputatieschade voor een organisatie of instelling.’’ Om het proces van informatiebeveiliging – en de certificering daarvan – te professionaliseren, is de internationale ISO 27001 in het leven geroepen: ook wel dé certificering op gebied van informatiebeveiliging. Wanneer is de kans op een datalek op zijn grootst? ‘’Zowel bewust als onbewust kunnen medewerkers een datalek veroorzaken. Het is daarom belangrijk om toegangsrollen toe te kennen en strikte procedures en autorisatie toe te passen. Zoals eerder gezegd, is de bewustwording onder alle medewerkers niet iets om te onderschatten! Vaak gaat het om onwetendheid of het niet kunnen inschatten van de gevolgen van bepaalde acties van medewerkers. Een fout met privacygevoelige persoonsgegevens is snel gemaakt. Denk bijvoorbeeld aan het laten slingeren van een USB-stick in de trein of op kantoor, of simpelweg door een briefje met inloggegevens voor applicaties op het beeldscherm te plakken.’’ Door een hoge prioriteit toe te kennen aan informatiebeveiliging, wordt dit binnen de gehele organisatie – en dus op alle niveaus en binnen elke afdeling – belangrijk gevonden. De gebruiksvriendelijkheid, van bijvoorbeeld een softwareapplicatie, wordt door de leverancier gewaarborgd. Het is dus altijd aan te raden zaken te doen met een leverancier die de klant centraal stelt. Hoe kan ik, of mijn organisatie, mijn privacygevoelige informatie zo goed mogelijk beveiligen? ‘’Allereerst is het goed te melden dat alles begint bij bewustwording. Zowel bij het management als bij het personeel. Door deze bewustwording voorkomt u onnodige beveiligingsrisico’s. Wanneer uw organisatie actief met informatiebeveiliging bezig is, wordt er een risicoanalyse gedaan, maatregelen worden genomen en de bewustwording wordt gecreëerd. Dankzij een adequate informatiebeveiliging, zal het uw organisatie niet overkomen dat patiëntgegevens op straat komen te liggen, uw patiënten boos worden en de reputatie van de organisatie risico loopt.’’ 2 ‘’Toch is het goed om te weten dat, ook bij het zakendoen met bedrijven die gevoelige informatie verwerken, u als organisatie altijd verantwoordelijk blijft voor de gegevens. Het is wel belangrijk dat u ervan uit kunt gaan dat ook uw gecertificeerde leverancier (van software) op een identieke manier met informatiebeveiliging omgaat. Maar hoe komt u daar achter? Door zaken te doen met bedrijven die werken volgens de ISO 27001 of NEN 7510 normering, weet u zeker dat er op een zorgvuldige manier met uw data wordt omgegaan.’’ Maar staan informatiebeveiliging en gebruiksvriendelijkheid van softwareapplicaties niet op gespannen voet met elkaar? ‘’Informatiebeveiliging hoeft naar mijn mening niet perse haaks te staan op het gebruikersgemak van een software. Er zijn maar een aantal zaken die goed geregeld moeten worden om makkelijk en toch op een veilige manier met privacygevoelige informatie om te gaan. Bezig zijn met veiligheid is niet het leukste aspect van uw werk, maar het moet werkbaar blijven. Aan de andere kant is gebruiksvriendelijkheid belangrijk, maar het moet wel veilig blijven.’’ Wie kijkt er eigenlijk mee in mijn data en hoe houd ik controle? ‘’Een belangrijke vraag, vind ik. Uw privacy moet absoluut niet onderschat worden natuurlijk. In mijn ogen gaat informatiebeveiliging juist daarover. Het bewustwordingsproces met betrekking tot welke data wordt vastgelegd en welke potentiële risico’s hierbij komen kijken is essentieel. Een van de potentiële risico’s is het definiëren wie toegang tot de data hebben. Zowel intern als extern.’’ ‘’Met informatiebeveiliging wordt duidelijk vastgelegd wie welke rechten hebben op toegang tot de privacygevoelige informatie en hoe dit binnen de organisatie is gewaarborgd. Enkele vragen die u kunnen helpen bij de bewustwording zijn: Weten medewerkers binnen de organisatie welke informatie zij op basis van hun functie wel of niet in mogen zien? Weten medewerkers binnen de organisatie hoe ze om moeten gaan met (vertrouwelijke) of privacygevoelige informatie? Is er binnen de organisatie iemand verantwoordelijk gesteld voor informatiebeveiliging? Wordt er binnen uw bedrijf regelmatig gesproken over informatiebeveiliging? Een aantal tips die ik heb bij het waarborgen van informatiebeveiliging: stel beveiligingsrichtlijnen op als organisatie. Die hebben niet alleen betrekking op de webapplicatie, maar ook op de beheeromgeving en hard- en softwarevoorzieningen die noodzakelijk zijn om te webapplicatie te laten functioneren. Zo kunnen er bijvoorbeeld eisen worden gesteld aan het zelf uitvoeren van controles. Denk bijvoorbeeld aan het uit laten voeren van penetratietesten en het op orde hebben van gebruikers- en toegangsbeheer.’’ 3 Is alles geregeld als mijn softwareleverancier gecertificeerd is? ‘’Nee, niet alles is hiermee geregeld. U bent als eigenaar van de privacygevoelige informatie nog steeds verantwoordelijk voor het beheer van data en het proces van informatiebeveiliging binnen uw eigen organisatie. ‘’Een onduidelijkheid is vaak dat men denkt dat de certificering direct iets zegt over de software die u afneemt. Wanneer u zaken doet met een softwareleverancier die ISO 27001 of NEN 7510 gecertificeerd is, zegt dat nog niet heel veel over de software die u afneemt van deze leverancier. Het zegt echter wel hoe deze leverancier met uw privacygevoelige informatie omgaat en hoe zij, niet geheel onbelangrijk, met de onderaannemers omgaan die door deze leverancier worden ingeschakeld.’’ Wat kan er allemaal misgaan als ik mijn informatiebeveiliging niet goed heb geregeld? ‘’Een algemeen bekend voorbeeld, is het voorbeeld dat ik eerder heb gegeven. Maar er zijn nog meer voorbeelden: Het GGD IJsselland kampt met een datalek. De organisatie stuurde persoonlijke informatie over een familie uit Balkbrug per post op een onbeveiligde USB-stick van Zwolle naar Nijmegen. Onderweg is de USB-stick kwijtgeraakt, meldde het AD. De zorggegevens van 1900 inwoners van Amersfoort zijn, door een datalek bij de gemeente, in verkeerde handen terecht gekomen. Ambtenaren hebben deze informatie ook nog eens wekenlang voor zich gehouden. Een ambtenaar verstuurde per abuis een e-mail naar iemand buiten de gemeente, met de persoonlijke gegevens van inwoners van Amersfoort. Deze inwoners waren in behandeling bij een zorginstantie. Het lek vond plaats eind januari 2016. De betrokken ambtenaren hebben het incident pas 7 april 2016 gemeld bij de verantwoordelijke wethouder.’’ Sinds de Meldplicht Datalekken is ingegaan begin 2016, hebben er al meerdere incidenten plaatsgevonden. Hiermee wordt duidelijk dat het beveiligen van informatie niet onderschat mag worden. Een goede beveiliging, door gebruik te maken van een veilige software en het invoeren van de juiste processen, is hierin essentieel. Naast het feit dat er veel risico’s zijn bij het slecht beveiligen van informatie, maakt een goede beveiliging het werk ook juist gemakkelijker. Het is in ieder geval weer een zorg minder. 4